Articles of ssl

我刚刚在运行apache的CentOS 6服务器上设置了letsencrypt ，SSL全部正常。 我只是试图redirecthttp到https使用这个： Redirect permanent / https://example.com/ 但是，在去http://example.com/somepath的情况下，而不是获取https://example.com/somepath我得到https://example.comesomepath … 出于某种原因， /未被添加到我正在访问的path，我看不到我可以如何解决这个问题。 我的httpd.conf ： NameVirtualHost *:80 <VirtualHost *:80> ServerName example.com ServerAlias example.com DocumentRoot /var/www/html/ # RedirectMatch permanent ^(.*)$ https://www.example.com$1 # tried using this too, no luck Redirect permanent / https://example.com/ </VirtualHost> 运行： Apache/2.2.15 (Unix)

当使用psycopg2库连接到需要客户端身份validation的Postgres服务器时，我看到了连接string， import psycopg2 c = psycopg2.connect("host=myhost dbname=mydb sslmode=verify-full sslcert=/root/.postgresql/aa/postgresql.crt sslkey=/root/.postgresql/aa/postgresql.key") psycopg2能处理密码encryption密钥文件吗？ 如果postgresql.key受密码保护，会发生什么情况？ connect（）是否提示input密码来解开密钥？ 可以在连接string中提供密钥文件的密码吗？ 谢谢

系统：Ubuntu 16.04运行OpenLDAP 2.4.42 我正在按照教程来configurationOpenLDAP for TLS。 我最终创build的LDIF文件如下所示： dn: cn=config changetype: modify replace: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem – replace: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/private/mysite_slapd_key.pem – replace: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mysite_slapd_cert.pem 问题是，当我运行sudo ldapmodify -H ldapi:/// -Y EXTERNAL -f myFile.ldif ，我得到以下错误： $ sudo ldapmodify -H ldapi:/// -Y EXTERNAL -f myFile.ldif SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 modifying entry "cn=config" […]

连接到我的个人网站时，我收到Mozilla Firefox的SSL_ERROR_RX_RECORD_TOO_LONG错误消息： Secure Connection Failed An error occurred during a connection to www.fturco.net. SSL received a record that exceeded the maximum permissible length. Error code: SSL_ERROR_RX_RECORD_TOO_LONG The page you are trying to view cannot be shown because the authenticity of the received data could not be verified. Please contact the website owners to inform them […]

从我的Adobe ExtendScript脚本中，我尝试通过https调用REST API： var xmlhttp = new XMLHttpRequest(); xmlhttp.open('GET', 'https://***/api/books', true); xmlhttp.setRequestHeader('Authorization', 'Basic NDI5MDk…'); xmlhttp.send(null); if(xmlhttp.status == 200) { alert(xmlhttp.responseText); } 该代码在控制台中触发以下输出： net::ERR_SSL_VERSION_OR_CIPHER_MISMATCH 看另一边的nginx服务器日志，只有一个错误信息： 2016/09/29 11:25:34 [info] 7048#7048: *4396957 SSL_do_handshake() failed (SSL: error:1408A0C1:SSL routines:ssl3_get_client_hello:no shared cipher) while SSL handshaking, client: **.**.**.**, server: 0.0.0.0:443 其他客户端连接到服务器没有问题。 Web服务器非常稳定，维护良好，运行TSL 1.2并支持所有安全密码： 443/tcp open https | ssl-enum-ciphers: | TLSv1.2: | ciphers: […]

我有几个应用程序在Tomcat服务器下。 所以我想为每个应用程序的子域。 因此，如果用户想要访问应用程序，必须将https://app1.domain.com …分别访问Tomcat应用程序domain.com/app1/，domain.com/app2/。 我成功地configuration了apache和通配符证书来使用SSL。 但是，当访问每个应用程序的子域时不会redirect。 刚刚得到一个ERR_TOO_MANY_REDIRECTS错误。 这里是ssl.conf文件： <VirtualHost 10.0.0.1:443> ServerAdmin [email protected] DocumentRoot "/var/www/html" ServerName www.domain.com ServerAlias domain.com ErrorLog logs/ssl_error.log DirectoryIndex index.html SSLEngine on SSLProtocol All +TLSv1.2 -SSLv2 -SSLv3 SSLCertificateFile /opt/certs/domain.com.crt SSLCertificateKeyFile /opt/certs/domain.com.key SSLCertificateChainFile /opt/certs/domain.com.intermediate.crt <Directory "/var/www/html"> Order allow,deny Allow from all </Directory> </VirtualHost> <VirtualHost 10.0.0.1:443> DocumentRoot "/var/www/html/app1" ServerName app1.domain.com UseCanonicalName Off DirectoryIndex index.html ProxyRequests […]

我有一个Nginx反向代理设置，并且可以正常使用SSL证书，包括标准和多SAN。 如果我设置了一个虚拟服务器，比如带有标准SSL的mysite.com，一切都很好。 如果我在浏览器中向域名mysite.co.uk添加相同的虚拟服务器，则会收到错误消息，说明该网站的证书无效。 我明白为什么我得到这个错误消息，我想知道的是我可以使用Nginx将mysite.co.uk转发到mysite.com以避免在浏览器中的错误信息？ 我已经尝试在Nginx上重写，但我不认为这是做到这一点。 我不能在DNS级别执行此操作，因为我的客户端DNS不允许这样做。 这不仅仅是一个域，有很多，我需要保持低成本，而不是购买SAN SSL。 在此先感谢您的帮助。

我们正在使用nginx来提供Web服务。 客户已经build立了一个从他们的子域指向的CNAMElogging： sub.example1.com到我们域sub.example2.com上的子域（使用通配符SSL证书进行保护） 目前，当您尝试查看： sub.example1.com ，错误： The certificate is not valid (host name mismatch). 被显示并且不匹配错误必须被忽略继续。 我曾尝试为子域sub.example1.com生成一个SAN证书并单独提供服务，但他们确实在查看sub.example2.com并导致相同的错误。 我们是否可以将SAN添加到通配符证书中以避免这种不匹配错误？ 是否有其他可能的解决scheme来解决不匹配？ 我们可以在相同的证书上保护这个二级子域吗？ 谢谢！ 编辑主nginx.conf，网站启用/ sub.example1.com和example2.comconfiguration示例： http ：//pastebin.com/7AKLag4w 通过上面的configuration，我仍然收到一个不匹配的主机名证书错误。 curl -I导致： curl: (60) SSL certificate problem: Invalid certificate chain sub.example1.com证书是使用letsencrypt包括sub.example1.com和sub.example2.com SAN）创build的，而example2.com.crt是由标准颁发机构创build的，作为通配符ssl证书。

我有3个站点，domain1.com，domain2.com和domain3.com。 domain1.com没有ssl domain2.com只是一个redirect到domain1 domain3.com需要ssl 这是我的设置： domain1.nginx upstream domain1 { server localhost:3009; } server { listen 80; server_name www.domain1.com return 301 http://domain1.com$request_uri; } server { root /domain1/priv/static; listen 80; server_name domain1.com; location / { proxy_pass http://domain1; proxy_set_header Host $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; } } domain2.nginx server { server_name […]

我在客户端看到一些奇怪的SSL握手失败。 我们有自定义的web js应用程序，只能通过浏览器访问较旧的Webkit（如在Epiphany中find）。 来自客户端的所有请求都来自同一浏览器（版本和types）。 这是症状： a。）客户端浏览器显示SSL握手失败： 如果网页重新加载，错误仍然存​​在 如果浏览器会话被终止并且新会话被加载，则错误消失 b。）在nginx错误，syslog或openssl日志中找不到SSL错误 c）在tcp转储我看到一些奇怪的偶尔SSL握手错误： 列出项目错误的证书状态响应 没有证书 内部错误 d。）我们正在使用让我们encryptionSSL证书 e。）nginx.conf： ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ＃删除SSLv3，ref：POODLE ssl_prefer_server_ciphers; nginx充当代理，将所有httpstream量redirect到https 网站启用： 服务器{ listen 80; server_name srv_name; return 301 https://$host$request_uri; } 服务器{ listen 443; server_name srv_name; proxy_connect_timeout 600; proxy_send_timeout 600; proxy_read_timeout 600; send_timeout 600; ssl on; ssl_certificate fullchain.pem_path; ssl_certificate_key privkey.pem_path; ssl_session_timeout 5m; ssl_protocols TLSv1 […]